Для этого злоумышленнику требуется чужой смартфон с подключенной платежной картой и активированным транспортным режимом
Эксперт Positive Technologies Тимур Юнусов выступил в Лондоне на конференции по компьютерной безопасности Black Hat Europe, где представил подробности исследования уязвимостей систем мобильных платежей Apple Pay, Samsung Pay и Google Pay.
Обнаруженные уязвимости позволяют использовать для неограниченных покупок украденные смартфоны, на которых были активированы режимы оплаты общественного транспорта, не требующие разблокировки устройств. До июня 2021 года покупки могли осуществляться на любых торговых POS-терминалах, а не только в общественном транспорте. На Apple iPhone оплата доступна даже с помощью разряженных смартфонов.
До 2019 года Apple Pay и Samsung Pay не разрешали платежи, если телефон не был разблокирован с помощью отпечатка пальца, идентификатора лица или PIN-кода. Сейчас такая возможность есть, и она называется public transport schemes («режимы платежей в общественном транспорте» или режим транспортной экспресс-карты у Apple). В период с 28 апреля по 25 мая 2019 года только в Лондоне было оплачено более 48,38 миллиона поездок на поезде с использованием бесконтактных методов, таких как карты и мобильные кошельки. В 2018 году пассажиры Нью-Йоркского метро воспользовались бесконтактными платежами 3,37 миллиарда раз.
«Одним из преимуществ транспортных режимов в смартфонах является удобство использования, — объясняет Тимур Юнусов. — После того, как вы привязали банковскую карту (Visa, MasterCard или например American Express) к смартфону и активировали ее как транспортную карту, вы можете оплачивать поездки в метро или в автобусе без разблокировки устройства. Такая функция доступна, например, в США, Великобритании, Китае, Японии. Для осуществления атаки смартфоны Samsung Pay и Apple Pay должны быть зарегистрированы в этих странах, однако карты могут быть из любого другого региона. Украденные телефоны также можно использовать в любом регионе. Аналогичные действия можно совершить с помощью Google Pay».
В ходе экспериментов исследователи последовательно увеличивали сумму единоразовового списания, остановившись на 101 фунте стерлингов. Однако банки чаще всего не накладывают дополнительных ограничений и проверок при совершении платежей с использованием Apple Pay и Samsung Pay, считая эти системы мобильных платежей достаточно защищенными (один из примеров), поэтому суммы списаний могут быть значительно больше.
Как отмечает эксперт Positive Technologies, даже последние модели Apple iPhone, в том числе разряженные, позволяли исследователям совершать платежи на любых POS-терминалах. Для этого нужна была подключенная к смартфону карта Visa (с активированым режимом транспортной экспресс-карты) и положительный баланс на счету. В связи с отсутствием на момент исследования обязательной оффлайн-аутентификации (ODA Offline Data Authentication), украденным телефоном с подключенной картой Visa и активированным транспортным режимом, по словам Тимура Юнусова, можно пользоваться буквально в любой точке планеты, на различных POS-терминалах, как на Apple Pay, так и на Google Pay, без ограничений по суммам.
Что касается карт MasterCard, специалисты Positive Technologies смогли воспроизвести аналогичные действия, воспользовавшись недостатком, обнаруженным ранее экспертами из ETH Zurich. Позднее недостаток был устранен. На данный момент для совершения платежей по украденным телефонам с привязанными картами MasterCard и American Express злоумышленникам потребуется доступ к специальным модифицированным POS-терминалам.
В своем выступлении Тимур Юнусов дал рекомендации разработчикам платежных систем и мобильных кошельков, которые помогут им лучше бороться с мошенничеством, связанным с утерей и кражей смартфонов. Среди выявленных проблем — проблемы с аутентификацией Apple Pay и проверкой правильности полей, путаница в криптограммах AAC/ARQC, отсутствие проверки поля суммы для схем общественного транспорта и отсутствие проверок целостности поля MCC (касается всех трех платежных систем и кошельков), платежи Google Pay выше лимитов NoCVM и др.
Positive Technologies руководствуется принципами ответственного разглашения (responsible disclosure): всю имеющуюся у нас информацию о выявленных уязвимостях мы в первую очередь предоставляем производителю. Если мы не получаем от производителя письменный ответ в течение 90 дней, то оставляем за собой право публично опубликовать наши выводы в ограниченном формате, не упоминая сведения, которые позволили бы третьим сторонам использовать уязвимость.
Компании Apple, Google, Samsung были уведомлены нами в марте, январе и апреле 2021 года соответственно. Специалисты этих компаний сообщили, что не собираются вносить никаких изменений в свои системы, но попросили разрешения поделиться находками и отчетами с платежными системами, уверив нас, что уведомят их. Такое согласие с нашей стороны было дано, но представители платежных систем не выходили на контакт. Исследователи Positive Technologies, со своей стороны, пытались связаться с техническими специалистами Visa и Mastercard, но ответа от них не получили, при этом в конце сентября часть наших выводов повторила и обнародовала другая команда исследователей — из университетов Бирмингема и Суррея.
В 2017 году эксперты Positive Technologies обнаружили проблемы защищенности Apple Pay на смартфонах, которые могли приводить (и до сих пор приводят) к возможности совершения мошеннических платежей с помощью функции оплаты Apple Pay на сайтах. В 2019 году Ли-Энн Гэллоуэй и Тимур Юнусов выявили также возможность обхода лимита бесконтактных платежей карт Visa и мобильных кошельков Google Pay c картами Visa. Об уязвимостях в POS-терминалах Verifone, Ingenico и PAX, часть которых можно эксплуатировать удаленно, Positive Technologies рассказывала в 2020 и 2021 годах.